iOS 逆向-非越狱手机Hook App

引子

---

由于对iOS逆向分析很感兴趣,所以也花了很长一段时间学习了iOS逆向相关知识，并积累了一些相关经验，在越狱设备上成功让我爽了一把，前段时间比较火的微信抢红包功能也是一步一脚印让自己给弄出来了。

后来，觉得在越狱设备上逆向App已经没有多大吸引力了，就放了一段时间，当时也尝试过学习非越狱设备逆向App的，但是最后还是以失败告终。

这几天又到看雪论坛逛了一下，看看最近有没有什么大牛分享心得成果的！还真让我看到一篇有意思的文章【原创】微信双开是定时炸弹？关于非越狱iOS上微信分身高危插件ImgNaix的分析 ，通过读完这篇文章，让我又有了站在巨人的肩膀上，也来探究和学习一下非越狱设备如何Hook App的兴趣了。

思路

---

越狱和非越狱Hook iOS App的关键就是让App在启动的时候加载自己的dylib。那么在非越狱上加载dylib的思路就是利用：Mach-o LC_LOAD_DYLIB ， 在App在被加载的时候，把我们的动态库dylib也一起加载起来。

关于非越狱设备Hook App网上有很多资料，下面摘抄来自阿里安全工程师的博客“iOS冰与火之歌番外篇 - 在非越狱手机上进行App Hook”关于非越狱手机Hook App的思路。也可以在IOS应用逆向工程官方论坛搜索更多关于逆向的资料。

今天我就来介绍一种不需要越狱就能hook iOS app方法，也就是Mach-O LC_LOAD_DYLIB Hook。这种方法是通过修改binary本身来加载第三方dylib并实现hook，具体思路是：

提取ipa中的二进制文件 -> 修改二进制文件的Load Commands列表，加入要hook的dylib –> hook.dylib在函数constructor函数中完成对特定函数的hook->对修改后的ipa进行签名，打包和安装。

---

工具

MachOView
iReSign
yololib
同步助手(或者pp助手、iTools)

本文实践工程

被注入目标代码工程：AppRe
生成动态库dylib代码工程：dylib

---

1.目标App

也就是要被注入的App。这里我们自己写一个简单的App,代码非常简单：点击“点击我”按钮弹出一个窗口，显示一句话“Hello iOS!”以及app的bundleid。

- (void)viewDidLoad {    [super viewDidLoad];    //布局UIButton    self.view.backgroundColor = [UIColor whiteColor];    UIButton *button  =[UIButton buttonWithType:UIButtonTypeSystem ];    [button setTitle:@"点击我" forState:UIControlStateNormal];    [button setFrame:CGRectMake((self.view.frame.size.width-120)/2, (self.view.frame.size.height-40)/2, 120, 40)];    [button addTarget:self action:@selector(buttonClick:) forControlEvents:UIControlEventTouchUpInside];    [self.view addSubview:button];}- (void)buttonClick:(id)sender{    [self say:@"Hello iOS!"];}- (void)say:(NSString *)string{    NSString *identifier = [[NSBundle mainBundle] bundleIdentifier];    UIAlertController *alert = [UIAlertController alertControllerWithTitle:string message:identifier preferredStyle:UIAlertControllerStyleAlert];    UIAlertAction *okAction = [UIAlertAction actionWithTitle:@"确定" style:UIAlertActionStyleDefault handler:nil];    [alert addAction:okAction];    [self presentViewController:alert animated:YES completion:nil];}

2.生成动态库dylib

由上面的代码可知，在viewController类中有一个say的函数，该函数完成了弹窗的功能。
那么我们接下来要做的是，将通过hook viewController 的say方法，把“Hello iOS!”改成“Hello, Android!”

xcode本身不直接提供构建dylib的工程，但是可以通过其他方式来构建，这里也直接使用“iOS冰与火之歌番外篇 - 在非越狱手机上进行App Hook”提供的代码工程直接修改一下。我也是从文中学习到CaptainHook的使用，摘抄下来：

下一步就是要实现对特定函数的hook。在这里我推荐使用CaptainHook这个framework。作者已经帮我们实现了hook所需要的各种宏，只要按照如下步骤就可以完成针对特定函数的hook：

使用 CHDeclareClass() 声明想要hook的class

在构造函数中用 CHLoadClass() 或 CHLoadLateClass() 加载声明过的class

使用CHMethod() hook相应的method

在CHMethod()中可以使用CHSuper()来调用原函数

在构造函数中使用CHClassHook()来注册将要hook的method

CHDeclareClass(ViewController);//参数个数、返回值类型、类名、selector名称、selector的类型、selector对应的参数的变量名CHMethod(1, void, ViewController, say, id, arg1){    NSString* tmp=@"Hello, Android!";    CHSuper(1, ViewController, say, tmp);}__attribute__((constructor)) static void entry(){    CHLoadLateClass(ViewController);    CHClassHook(1, ViewController,say);}

注意：

• 生成动态库dylib使用的签名方式要和你要注入dylib的可执行文件重签名后的签名方式一致。

通过“iOS冰与火之歌番外篇 - 在非越狱手机上进行App Hook”提供的源码生成的dylib注入app之后，会导致App闪退，通过调试和各种折腾发现在生成dylib工程中配置正确的Entitlements.plist即可解决。

2.注入dylib

注入dylib这一步，如果要深入理解的话，就需要学习mach-o文件结构相关知识了。这里只需知道在mach-o文件结构的Load Commands 中的如何LC_LOAD_DYLIB指定了一个要加载的dylib，那么App在启动的时候就会自动加载该dylib。

注入dylib实际就是修改mach-o的结构体，插入一条新的load command 即LC_LOAD_DYLIB。这里也使用大神提供的工具yololib来进行修改mach-o结构体注入dylib，使用很简单。也可以使用二进制编辑器010Editor来进行修改，手动修改会比较麻烦。

./insertdylib AppRe hook1.dylib

这里，我将该工具yololib重新命名为insertdylib，方便自己快速记忆。

注入后我们使用machOView工具可以发现mach-o结构体成功被插入了一条load command(如果你熟悉命令行也可以使用otool查看)。

这张图是旧的图O(∩_∩)O哈哈~，因为machOView有时会闪退，该死的，写该文章的时候就一直闪退。图片中dev_sfa.png，实际也是hook.dylib重命名过来的，伪装成一个png图片！！

注意：

这里有个坑！在执行insertdylib的两个参数binary文件和dylib文件，不要带上全路径。要把dylib文件拷贝到AppRe.app目录，然后cd 到AppRe.app目录，然后直接insertdylib binaryfile dylibfile如果带上了全路径那么路径也被插入到mach-o结构体中，导致注入失败。

3.重签名

当AppRe.app注入之后，剩下的就是打包和重签名了！对于重签名我推荐大牛的iReSign

把AppRe.app 转成ipa 很简单,新建一个Payload目录，把AppRe.app放到Payload目录里面，在执行下面命令即可

zip -qry AppRe.ipa Payload/

进行重签名.步骤如下：

1. 拖拽进对应的AppRe.ipa文件到iReSign中.

2. 拖拽进对应mobileprovision文件，这里我使用的是dev的开发授权文件

3. “entitlements.plist的路径”可以不填，在iReSign源码中看出来，iReSign会自动成成一个entitlements.plist文件的。

4. 勾选修改ID。 即修改Info.plist的bundle identifier 。因为我们一般情况下是没有原App的证书的，所以需要修改bundle identifier

5. 选择对应的签名。这里的签名一定要和生成dylib的时选择的签名是一致的！这里我使用的是dev的签名

6. 点击“重新签名！”，会在ipa所在目录重新生成一个AppRe.-resignipa的包。

4.安装

使用同步助手或者pp助手都可以，拖拽安装到手机并运行！